如何使nimbus-jose-jwt中的RemoteJWKSet缓存失效

Question

我们使用nimbus-jose-jwt第三方库中的RemoteJWKSet进行基于JWKS端点的JWT验证。

使用RemoteJWKSet，我们可以从远程端点检索JWK，并且检索到的JWK集被缓存，以便最大限度地减少网络调用。此外，它还能够处理远程服务器上的密钥轮换，因为每当密钥选择器尝试获取具有未知子密钥的密钥时，都会更新缓存。

我的问题是，假设由于安全原因从远程JWKS端点删除了一个特定的密钥集。但是，当我们得到一个使用删除的键签名的JWT时，它仍然有效，因为该键集在缓存中可用(RemoteJWKSet只会在获得具有未知子元素的令牌时更新缓存)。

我想知道，除了重新启动服务器之外，是否还有其他可能的方法来使RemoteJWKSet中缓存的JWK集无效？

Answer 1

在connect2id支持门户1上提出了同样的问题

他们建议放置一个空的JWK集，这将导致RemoteJWKSet在下一次调用时重新加载URL中的键集，作为一种使JWK缓存无效的机制。

1